SSL和数字证书的概念及Web应用Word文档下载推荐.docx
- 文档编号:15858705
- 上传时间:2022-11-16
- 格式:DOCX
- 页数:36
- 大小:221.87KB
SSL和数字证书的概念及Web应用Word文档下载推荐.docx
《SSL和数字证书的概念及Web应用Word文档下载推荐.docx》由会员分享,可在线阅读,更多相关《SSL和数字证书的概念及Web应用Word文档下载推荐.docx(36页珍藏版)》请在冰豆网上搜索。
一份数字证书包括了公钥、个人、服务器或者其它机构的身份信息(称之为主题,如下格式所示):
Subject:
DistinguishedName,PublicKey
Issuer:
DistinguishedName,Signature
PeriodofValidity:
NotBeforeDate,NotAfterDate
AdministrativeInformation:
Version,SerialNumber
ExtendedInformation:
BasicContraints,NetscapeFlags,etc.
主题的内容包括标识信息(唯一名称)、公匙,当然也包括签发该证书的证书认证机构以及证书有效时间,同时也包括另外一些信息,如序列号等。
唯一名称用特定的格式标识一个身份,此特定的格式由X.509(ftp:
//OSIdirectory/ITUnov96/X.509/97x509final.doc)标准所确定,它由几个字段组成,其格式如下所示:
字段名:
CommonName
缩写:
CN
内容:
需要认证的名称
示例:
CN=JoeAverage
OrganizationorCompany
O
该名称所属的机构
O=SnakeOil,Ltd.
OrganizationalUnit
OU
机构的单元
OU=ResearchInstitute
City/Locality
L
所居住的城市
L=SnakeCity
State/Province
ST
省份或者州
ST=Desert
Country
C
国家名(ISO号)
C=XZ
证书权威机构可以定义这些字段中哪些是必需的,哪些是可选的。
证书的二进制格式使用ASN.1(X.208标准:
ftp:
//EncodingRules(BER)基础上的DistinguishedEncoding(DER),对于某些不能传送二进制编码的系统,则使用base64编码,其版本为PEM编码。
一个用PEM编码方式的证书如下:
-----BEGINCERTIFICATE-----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-----ENDCERTIFICATE-----
数字认证机构用于确认一个密钥对的私钥的拥有者。
数字认证机构也可以为另外一个数字认证机构颁发证书,这就形成了证书链。
当然,或许这个时候你会问,是否可以不需要别人认证而建立自己的证书认证机构呢?
可以,这就是建立一个拥有“根”级别的证书认证机构。
当然,我们在这里首先假设你所拥有的机构具有现实社会的权威性,否则别人是不会相信你的。
这样的数字签证就是“自签”,证书的主题内容和签发者一致。
2.SSL简介
SSL是一个可以在连接性的协议(例如TCP/IP)以及应用层协议(如HTTP)之间的协议。
SSL可以通过双方进行认证、数字签名的使用以及加密来保障安全通信。
SSL有以下几个版本:
SSLv2.0VendorStandard(NetscapeCorp.)
(Navigator1.x/2.x,MSIE3.x和Lynx/2.8+OpenSSL。
SSLv3.0ExpiredInternetDraft(NetscapeCorp.)
改进版本,防止了一些安全漏洞,加上了一些非RSA的加密手段,并支持证书链,支持NSNavigator2.x/3.x/4.x,MSIE3.x/4.x和Lynx/2.8+OpenSSL。
TLSv1.0ProposedInternetStandard(IETF)
(ftp:
//ftp.ietf.org/internet-drafts/draft-ietf-tls-protocol-06.txt)SSL3.0的改进版本,将MAC协议升级为HMAC,支持Lynx/2.8+OpenSSL
SSL连接可以通过在客户端和服务器端之间交流一些步骤建立起来,如图F1-1所示。
图F1-1建立SSL连接的步骤
在建立SSL连接的时候主要需要以下几个步骤:
(1)确认在数据传输过程中的加密手段。
(2)建立并共享在客户端和服务器端的密匙。
(3)验证服务器(可选)。
(4)验证客户端(可选)。
其中第一步加密手段确认,允许客户端和服务器端选择一种双方都支持的加密包,SSL3.0协议定义了31种加密包。
一个加密包由以下几个部分组成:
(1)密匙交换方法,如RSA密匙交换,Diffie-Hellman密匙交换等。
(2)数据传送的加密手段,如流加密,RC4with40-bitkeys,RC4with128-bitkeys,CBCBlockCiphers,RC2with40bitkeys,DES40,DES,3DES_EDE,Idea和Fortezza等。
(3)建立邮件认证码(MessageAuthenticationCode,MAC)的邮件文摘,可以使用MD5(128位哈希),SecureHashAlgorithm(SHA)等。
其中具体的方法可以参考有关的协议。
SSL协议的具体架构如图F1-2所示。
SSLRecordProtocol用于控制在客户端和服务器端之间的数据传送。
具体的传送如图F1-3所示。
当我们了解了SSL概念之后,我们就可以在HTTP通信中,即在浏览器和服务器之间建立SSL连接,在这个时候,我们使用https而不是http,并且使用一个另外的端口(默认为443),浏览器将维护客户端的私匙,并且在连接建立的时候显示其标识。
图2SSL协议堆栈
图F1-3数据控制
二、应用SSL
在网络的实际应用中使用SSL的手段很多,我们甚至可以根据一些现有的库编写自己的SSL一贯用程序,但是在实际应用中我们通常使用现有的商业软件或者是一些自由软件。
在这里,有RSA公匙软件包可用。
(1)RSARef(RSAReference)(
(2)BSAFE3.0(
而我们所要介绍的SSLeay就是SSL应用的一个优秀的自由软件包,它提供了一种廉价的应用SSL的手段。
1.安装SSLeay软件包
SSLeay由EricYoung(eay@)和TimHudson(tjh@)开发,在INTERNET上可以获得的最新版本:
//ftp.psy.uq.oz.au/pub/Crypto/SSL/SSLeay-x.x.x.tar.gz,在http:
//www.psy.uq.oz.au/~ftp/Crypto可以获取相关的文档。
当下载了文档之后,首先当然是解开该软件包,形成一个安装目录。
安装的步骤如下:
(1)如果运行在WindowsNT系统之下,运行shutil/fixNT.sh。
(2)如果你的系统有Perl,但是不在/usr/local/bin,你可以运行
perlutil/perlpath.pl
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- SSL 数字证书 概念 Web 应用